Я настроил свой веб-сервер на использование SSL (я использую WAMP для своего сценария подготовки, прежде чем перенести его на общедоступные серверы). Назначение сайта успешно выполнено, и я могу использовать сайт с удаленных компьютеров по протоколу HTTPS.
Один из моих пользователей (тестировщиков) выразил озабоченность по поводу данных POST. В своем тестовом сценарии он находится на месте у одного из наших потенциальных клиентов, получая доступ к сайту за их ОЧЕНЬ придирчивым корпоративным брандмауэром (мы уже выяснили, как этот сайт применяется к их AUP, и мы чисты). Он управляет сайтом в FireFox, используя Firebug для мониторинга POST и GET данных. Вопрос здесь:
В его окне Firebug сообщение POST и ответ от XMLHTTPRequest возвращаются в виде простого текста. Это потому, что он был тем, кто инициировал безопасное соединение? Будут ли данные POST / Response отображаться для сетевых администраторов или журналов?
Обратите внимание, что цель здесь не в том, чтобы обмануть администраторов или обойти политики; Это приложение предназначено для людей на местах в разных местах, которые должны передавать конфиденциальные данные. Использование будет координироваться с каждой сетевой инфраструктурой, с которой мы сталкиваемся.
источник
Ответы:
Да, данные POST должны быть зашифрованы. Все в запросе HTTP должно быть зашифровано в разговоре SSL. Firebug получает информацию после того, как данные SSL были расшифрованы браузером. Если вы хотите убедиться, используйте что-то вроде Fiddler или WebScarab в качестве промежуточного прокси-сервера, хотя вам, возможно, придется играть в игры, чтобы заставить их хорошо играть с SSL. Вот страница о том, как расшифровать трафик HTTPS с помощью Fiddler.
источник